Huis > Cyber ​​Nieuws > RIPlace Ransomware Protection Bypass beïnvloedt Windows, AV Vendors
CYBER NEWS

RIPlace Ransomware Protection Bypass invloed op Windows, AV Vendors


RIPlace is nieuw ransomware bypass techniek die onlangs door de beveiliging onderzoekers werd ontdekt. De techniek is gebaseerd op slechts een paar regels code om met succes te omzeilen ingebouwde ransomware features bescherming, aanwezig in security-oplossingen en Windows 10.




De RIPlace techniek werd ontdekt door een aantal security onderzoekers van Nyotron – Daniel Prizmant, Guy Meoded, Freddy Ouzan, en Hanan Natan. De onderzoekers gecontacteerd security vendors en Microsoft over de kwestie. Echter, blijkbaar slechts twee leveranciers heeft de nodige stappen om het probleem aan te pakken en zet het betreffende product.

De andere bedrijven lijken te geloven dat RIPlace is een “non-issue", de onderzoekers zei in een gesprek met Bleeping Computer. Getroffen bedrijven zijn onder namen als Microsoft, Symantec, Sophos, Carbon zwart, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, en PANW Vallen. Kaspersky en Carbon Black zijn de enige bedrijven die hun producten beveiligd tegen de RIPlace bypass techniek.

RIPlace Ransomware Bypass Techniek Explained

Om te begrijpen hoe de ransomware bypass werkt, we moeten kijken naar de manier waarop ransomware versleutelt data. Voor de encryptie te laten plaatsvinden, de ransomware moet de beoogde bestanden te versleutelen en te vervangen door gecodeerde gegevens via één van de drie primaire methoden:

1. Open en lees oorspronkelijke bestand
2. Versleutelen inhoud in het geheugen
3. Vernietig het oorspronkelijke bestand door:
– Het schrijven van versleutelde inhoud in originele bestand,-
– Of opslaan gecodeerde bestand op de harde schijf, tijdens het verwijderen van het oorspronkelijke bestand met de DeleteFile operatie,
– Of opslaan gecodeerde bestand op de harde schijf, vervolgens te vervangen door het oorspronkelijke bestand met de Rename operatie.

Voor een efficiënte ransomware bescherming, alle drie voorwaarden moet worden geneutraliseerd. Echter, het lijkt erop dat de derde methode van het vervangen van bestanden op een specifieke manier het ontduiken van de ransomware bescherming kan leiden tot.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/windows-ransomware-protection-can-hacked-easily/”] Windows Ransomware bescherming kan eenvoudig worden gehackt

Dat gezegd zijnde, "RIPlace is een Windows-bestandssysteem techniek die, wanneer gebruikt om kwaadwillig versleutelen van bestanden, kunnen de meeste bestaande anti-ransomware methoden te omzeilen," de onderzoekers verklaard. De reden RIPlace is zo lastig is dat het maakt gebruik van een ontwerpfout in het Windows-besturingssysteem in plaats van een specifieke fout in de software. Bovendien, de bypass is eenvoudig te implementeren.

De onderzoekers voorzien ook twee video's om te laten zien hoe RIPlace trucs twee populaire endpoint security producten - Symantec Endpoint Protection en Microsoft Defender Antivirus.

Meer informatie over RIPlace is beschikbaar.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens